Database Reference
In-Depth Information
einschlägigen Datenschutzgesetze (v.a. das BDSG) und die praktische Umsetzung des
Governance Models, dazu kommen die datenschutzrelevanten Vorgaben aus den je-
weils gültigen Sicherheitsrichtlinien, dem einschlägigen DSMS-Handbuch und den
Zertifizierungsstandards.
Als unabhängige Stelle auf globaler Ebene im SAP-Konzern verantwortet das Se-
curity & Data Protection Office (SDPO) die internen Audits in den ausgewählten
Lokationen und Prozessen des DSMS. Die Mitglieder besitzen viele Erfahrungen in
der Auditierung von Managementsystemen und sind ausgewiesene Datenschutzexper-
ten, sie treten deshalb als Lead-Auditoren auf. Die lokalen Datenschutzvertreter wirken
als Co-Auditoren in allen Phasen der internen Audits - insbesondere der Vorberei-
tung - mit. Dabei ist jedoch an einer Stelle ein Kompromiss zu treffen: Zum einen
kann nur über eine intensive Vorbereitung und Unterstützung durch die lokalen Da-
tenschutzvertreter die große Anzahl der internen Audits bewältigt werden, weshalb sie
auch an den Audits als Co-Auditoren teilnehmen. Zum anderen müssen die Daten-
schutzvertreter wegen ihrer zentralen Rolle in der lokalen Umsetzung gleichzeitig als
Auditees auftreten. Deshalb wechseln sie an einer Stelle des Audits von der Rolle des
Co-Auditors in die Rolle des Auditees. Dies funktioniert auch deshalb, weil die Rolle
des Co-Auditors in der Audit-Durchführung eher passiv ausgestaltet und hauptsächlich
der Unterstützung der anderen Auditees dient. Der Vorteil dieses Vorgehens ist, dass
sich die lokalen Datenschutzvertreter so ein Stück weit in die übergeordnete Position
der DSMS-Verantwortung begeben und sich somit diesen neutraleren Blickwinkel zu
Eigen machen.
Eine beispielhafte Agenda für eine einzelne Lokation sieht dabei - unter Auslassung
der Raumplanung - wie in Tab.
5.5
beschrieben aus.
Dabei ist darauf hinzuweisen, dass bei SAP das SDPO als die auditierende Abteilung
gleichzeitig die Dokumentation des DSMS verwaltet, eine inhaltliche Vorprüfung der
Dokumentation findet daher bei internen DSMS-Audits nicht statt. Stattdessen werden
hauptsächlich lokale Aufzeichnungen - wie etwa die datenschutzrelevanten Geheim-
haltungsvereinbarungen nach globalen SAP-internen Vorgaben und den Vorgaben der
jeweiligen nationalen Gesetze - direkt in den Audits geprüft.
Es gibt mehrere Musterchecklisten, die im Laufe der Zeit erarbeitet worden sind und
regelmäßig überprüft werden. Den Auditoren steht es jedoch während des Audits frei,
zusätzliche Schwerpunkte zu setzen. Für die internen Audits werden für die jeweiligen
Auditees verschiedene Checklisten verwandt:
•
Eine richtet sich an die zuständigen Datenschutzvertreter. Entsprechend ihrem Auf-
gabenprofil aus dem DSMS (siehe Abschn. 5.2.1.2 zum Governance Model) liegen
die Schwerpunkte beispielsweise auf dem Awareness-Management, der Planung und
Umsetzung der lokalen Maßnahmen im Rahmen des KVP sowie dem Nachweis über
vergangene Aktivitäten.
•
Ebenfalls liegt ein eigener Fragenkatalog an das lokale Management vor. Darüber
wird schwerpunktmäßig die Zusammenarbeit mit den Datenschutzvertretern ge-
Search WWH ::
Custom Search